Bezpieczeństwo Windows 8 (Cykl: Windows 8 dla specjalistów IT, odcinek 9)

The Discussion

• 

  Czy modul TPM mozna dokupic do kazdej płyty głównej czy musi być zintegrowany?

• 

  @Mariuszu poruszyłeś bardzo ciekawy a i zarazem kontrowersyjny temat.

  Secure Boot który jest bardzo dobrym pomysłem do bezpiecznego uruchamiania systemów stał się kością niezgody ostatnimi czasy.

  Niedawno niemieckie federalne Ministerstwo Spraw Wewnętrznych (BDI). Opublikowało dokument przedstawiający stanowisko władz w kwestii Secure Boot, jak i całej gamy technologii znanych jako Trusted Computing. Dokument ten nie stanowi żadnych prawnie wiążącyh treści ale dosyć negatywnie wypowiada się w kwestii implementacji UEFI i wolności od Windows 8.

  Apropo wolności problemem jest również wykorzystanie alternatywnych systemów niż Win 8 np: Linux które w obecnej chwili mają problemy z uzyskaniem stosownego podpisanego certyfikatu od organizacji PE (która notabene jest głownie dla Windows Dziwne dlaczego nie wykorzystuje się standardu X.509. Wygląda to tak jakby MS podpisywał jądra Linuxowe.

  Najbardziej podoba mi się wypowiedź Linusa Torvaldsa: "Zamiast próbować zadowalać Microsoft robieniem głupot, trzeba postawić użytkownika na pierwszym miejscu."

  Zapewne pamiętasz sprawę z 2004 roku jaką władze Niemiec przyjęły względem Trusted Computing. Wydany wówczas katalog "kryteriów i preferencji", miał być odpowiedzią na pomysły Microsoftu związane z projektem Next-Generation Secure Computing Base.

  Skończyło się to tym, iż deklaracje z 2004 roku zmusiły Microsoft i innych gigantów IT do ograniczenia swoich ograniczających wolność użytkowników zamierzeń.

  Ciekawe jak będzie teraz ??

• 

  Szkoda tylko, że w 64-bitowej wersji Windows 8 Microsoft jeszcze bardziej zaostrzył ograniczenia PatchGuard (Kernel Patch Protection). W efekcie programy typu HIPS, antiloggery itp. nie pracują prawidłowo i nie są w stanie monitorować innych aplikacji:
  
  https://safegroup.pl/inne/patchguard-w-windows-8-x64-t8390.html
  
  Może dla zwykłego użytkownika wystarczający będzie Defender (MSE), ale jeżeli ktoś np. nie chce używać antywirusa bazującego na sygnaturach, a zamiast tego monitorować akcje wykonywane przez aplikacje nie jest w stanie tego zrobić.

• 

  Aha, jeszcze jedna rzecz - film sugeruje, że TPM jest wymagany do działania BitLockera a to nieprawda. Administrator edytując zasady grup lokalnych może pozwolić na używanie BitLockera bez TPM. Co więcej, od Windows 8 możliwe stało się korzystanie z szyfrowania nawet bez klucza USB, a jedynie z hasłem (oczywiście wykonanie kopii klucz jest wymagane):
  
  http://technet.microsoft.com/en-us/library/hh831412.aspx

• 

  @Grzegorz: Nie słyszałem o możliwości dokupienia chipa TPM do płyty głównej...

  @RedDevil79: Ale możesz jakoś rozwinąć temat? Bo Microsoft w swoich wymaganiach sprzętowych dot. Windows 8 ( https://msdn.microsoft.com/library/windows/hardware/hh748188 ) mówi, że producenci komputerów z procesorami x86/x64 MUSZĄ zapewnić opcję wyłączenia Secure Boot (poszukaj na 116 stronie PDFa). Więc jak nie masz ochoty - to nie musisz z tego korzystać... Więc prośba o rozwinięcie tematu w czym widzisz problem?

  @LukasAMD: Defender to tylko przykład na coś wbudowanego w system, ale oczywiście masz rację, że jak masz ochotę zrobić coś czego on nie potrafi - to możesz go wymienić.

  Co do wymagań posiadania TPM do zastosowania BitLockera, to spojrzę w wolniejszej chwili na film, ale jest dokładnie tak jak mówisz - TPM nie jest wymagany aby korzystać z BitLockera.

• 

  @Mariusz

  Czy nie jest tak, że niektóre funkcjonalności wymagają Secure Boot ?? A po jego wyłączeniu Windows nie będzie już działał ??

• 

  @RedDevil79: Niektóre funkcjonalności faktycznie wymagają Secure Boot, ale zrozumiałem, że widzisz problem w tym, że przez UEFI i Secure Boot nie będziesz mógł uruchomić maszyn z Linuxem ("problemem jest również wykorzystanie alternatywnych systemów niż Win 8 np: Linux które w obecnej chwili mają problemy z uzyskaniem stosownego podpisanego certyfikatu od organizacji PE"). Ale jeśli wyłączysz Secure Boot to spokojnie możesz je włączyć i korzystać. Plus są już jakieś rozwiązania (choć nie wgryzałem się w szczegóły) pozwalające uruchamiać LInuxy również z Secure Boot.

• 

  Właśnie chodziło mi o funkcjonalności które omawiałeś i wymagają Secure boot.

  Nie jestem Linux Man ale zawsze dobrze wiedzieć co tam się dzieje :

  Na obecną chwilę tworzona jest kombinacja shim z rozwiązaniem Garreta. Jest to (a raczej ma być) rozbudowana wersja bootloadera SUSE, zawierająca interfejs pozwalający użytkownikowi na zarządzanie kluczami kryptograficznymi i wskazywanie systemów plików, na których będą one używane.